Internet Engineering Task Force (IETF)                           F. Gont
Request for Comments: 6980                        SI6 Networks / UTN-FRH
Updates: 3971, 4861                                          August 2013
Category: Standards Track
ISSN: 2070-1721

Security Implications of IPv6 Fragmentation with IPv6 Neighbor Discovery




This document analyzes the security implications of employing IPv6 fragmentation with Neighbor Discovery (ND) messages. It updates RFC 4861 such that use of the IPv6 Fragmentation Header is forbidden in all Neighbor Discovery messages, thus allowing for simple and effective countermeasures for Neighbor Discovery attacks. Finally, it discusses the security implications of using IPv6 fragmentation with SEcure Neighbor Discovery (SEND) and formally updates RFC 3971 to provide advice regarding how the aforementioned security implications can be mitigated.

このドキュメントでは、近隣探索(ND)メッセージでIPv6フラグメンテーションを採用することのセキュリティへの影響を分析します。これはRFC 4861を更新して、IPv6フラグメンテーションヘッダーの使用がすべての近隣探索メッセージで禁止されるようにします。これにより、近隣探索攻撃に対する単純で効果的な対策が可能になります。最後に、IPv6フラグメンテーションをSEcure Neighbor Discovery(SEND)で使用することのセキュリティへの影響について説明し、RFC 3971を正式に更新して、前述のセキュリティへの影響を軽減する方法に関するアドバイスを提供します。

Status of This Memo


This is an Internet Standards Track document.

これはInternet Standards Trackドキュメントです。

This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Further information on Internet Standards is available in Section 2 of RFC 5741.

このドキュメントは、IETF(Internet Engineering Task Force)の製品です。これは、IETFコミュニティのコンセンサスを表しています。公開レビューを受け、インターネットエンジニアリングステアリンググループ(IESG)による公開が承認されました。インターネット標準の詳細については、RFC 5741のセクション2をご覧ください。

Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at


Copyright Notice


Copyright (c) 2013 IETF Trust and the persons identified as the document authors. All rights reserved.

Copyright(c)2013 IETF Trustおよびドキュメントの作成者として識別された人物。全著作権所有。

This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents ( in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.

この文書は、BCP 78およびこの文書の発行日に有効なIETF文書に関するIETFトラストの法的規定(の対象となります。これらのドキュメントは、このドキュメントに関するあなたの権利と制限を説明しているため、注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、Trust Legal Provisionsのセクション4.eに記載されているSimplified BSD Licenseのテキストが含まれている必要があり、Simplified BSD Licenseに記載されているように保証なしで提供されます。

Table of Contents


   1. Introduction ....................................................2
   2. Traditional Neighbor Discovery and IPv6 Fragmentation ...........4
   3. SEcure Neighbor Discovery (SEND) and IPv6 Fragmentation .........5
   4. Rationale for Forbidding IPv6 Fragmentation in Neighbor
      Discovery .......................................................6
   5. Specification ...................................................6
   6. Operational Advice ..............................................7
   7. Security Considerations .........................................7
   8. Acknowledgements ................................................8
   9. References ......................................................8
      9.1. Normative References .......................................8
      9.2. Informative References .....................................9
   Appendix A. Message Size When Carrying Certificates ...............10
1. Introduction
1. はじめに

The Neighbor Discovery Protocol (NDP) is specified in RFC 4861 [RFC4861]. It is used by both hosts and routers. Its functions include Neighbor Discovery (ND), Router Discovery (RD), address autoconfiguration, address resolution, Neighbor Unreachability Detection (NUD), Duplicate Address Detection (DAD), and redirection.

近隣探索プロトコル(NDP)はRFC 4861 [RFC4861]で指定されています。ホストとルーターの両方で使用されます。その機能には、近隣探索(ND)、ルーター探索(RD)、アドレス自動構成、アドレス解決、近隣到達不能検出(NUD)、重複アドレス検出(DAD)、およびリダイレクトが含まれます。

Many of the possible attacks against the Neighbor Discovery Protocol are discussed in detail in [RFC3756]. In order to mitigate the aforementioned possible attacks, SEcure Neighbor Discovery (SEND) was standardized. SEND employs a number of mechanisms to certify the origin of Neighbor Discovery packets and the authority of routers, and to protect Neighbor Discovery packets from being the subject of modification or replay attacks.

近隣探索プロトコルに対して起こり得る攻撃の多くは、[RFC3756]で詳細に説明されています。前述の可能性のある攻撃を軽減するために、SEcure Neighbor Discovery(SEND)が標準化されました。 SENDは、近隣探索パケットの発信元とルーターの権限を証明するため、および近隣探索パケットが変更またはリプレイ攻撃の対象から保護されるように、いくつかのメカニズムを採用しています。

However, a number of factors, such as the high administrative overhead of deploying trust anchors and the unavailability of SEND implementations for many widely deployed operating systems, make SEND hard to deploy [Gont-DPSC]. Thus, in many general scenarios, it may be necessary and/or convenient to use other mitigation techniques for NDP-based attacks. The following mitigations are currently available for NDP attacks:


o Static Access Control Lists (ACLs) in switches

o スイッチの静的アクセス制御リスト(ACL)

o Layer-2 filtering of Neighbor Discovery packets (such as RA-Guard [RFC6105])

o 近隣探索パケットのレイヤー2フィルタリング(RA-Guard [RFC6105]など)

o Neighbor Discovery monitoring tools (e.g., NDPMon [NDPMon] and ramond [ramond])

o 近隣探索監視ツール(例:NDPMon [NDPMon]およびramond [ramond])

o Intrusion Prevention Systems (IPS)

o 侵入防止システム(IPS)

IPv6 Router Advertisement Guard (RA-Guard) is a mitigation technique for attack vectors based on ICMPv6 Router Advertisement (RA) messages. It is meant to block attack packets at a layer-2 device before the attack packets actually reach the target nodes. [RFC6104] describes the problem statement of "Rogue IPv6 Router Advertisements", and [RFC6105] specifies the "IPv6 Router Advertisement Guard" functionality.

IPv6ルーターアドバタイズメントガード(RA-Guard)は、ICMPv6ルーターアドバタイズメント(RA)メッセージに基づく攻撃ベクトルの緩和技術です。これは、攻撃パケットが実際にターゲットノードに到達する前に、レイヤー2デバイスで攻撃パケットをブロックすることを目的としています。 [RFC6104]は「不正なIPv6ルーターアドバタイズメント」の問題ステートメントを説明し、[RFC6105]は「IPv6ルーターアドバタイズメントガード」機能を指定しています。

Tools such as NDPMon [NDPMon] and ramond [ramond] aim to monitor Neighbor Discovery traffic in the hopes of detecting possible attacks when there are discrepancies between the information advertised in Neighbor Discovery packets and the information stored on a local database.

NDPMon [NDPMon]やramond [ramond]などのツールは、近隣探索パケットでアドバタイズされた情報とローカルデータベースに保存された情報との間に不一致がある場合に起こり得る攻撃を検出するために、近隣探索トラフィックを監視することを目的としています。

Some Intrusion Prevention Systems (IPS) can mitigate Neighbor Discovery attacks. We recommend that Intrusion Prevention Systems implement mitigations for NDP attacks.


IPv6 fragmentation introduces a key challenge for these mitigation or monitoring techniques, since it is trivial for an attacker to conceal his attack by fragmenting his packets into multiple fragments. This may limit or even eliminate the effectiveness of the aforementioned mitigation or monitoring techniques. Recent work [CPNI-IPv6] indicates that current implementations of the aforementioned mitigations for NDP attacks can be trivially evaded. For example, as noted in [RA-GUARD], current RA-Guard implementations can be trivially evaded by fragmenting the attack packets into multiple fragments, such that the layer-2 device cannot find all the necessary information to perform packet filtering in the same packet. While Neighbor Discovery monitoring tools could (in theory) implement IPv6 fragment reassembly, this is usually an arms-race with the attacker (an attacker can generate lots of forged fragments to "confuse" the monitoring tools), and therefore the aforementioned tools are unreliable for the detection of such attacks.

攻撃者がパケットを複数のフラグメントにフラグメント化することで攻撃を隠すのは簡単であるため、IPv6フラグメンテーションは、これらの緩和または監視技術に重要な課題をもたらします。これにより、前述の緩和または監視手法の有効性が制限されるか、さらには排除される場合があります。最近の研究[CPNI-IPv6]は、NDP攻撃に対する前述の緩和策の現在の実装を簡単に回避できることを示しています。たとえば、[RA-GUARD]に記載されているように、現在のRA-Guardの実装は、攻撃パケットを複数のフラグメントにフラグメント化することで簡単に回避できるため、レイヤー2デバイスは、同じでパケットフィルタリングを実行するために必要なすべての情報を見つけることができません。パケット。 Neighbor Discovery監視ツールは(理論的には)IPv6フラグメントの再構成を実装できますが、これは通常、攻撃者との競争(攻撃者が大量の偽造フラグメントを生成して監視ツールを「混乱」させる可能性がある)であるため、前述のツールは信頼できませんそのような攻撃の検出のため。

Section 2 analyzes the use of IPv6 fragmentation in traditional Neighbor Discovery. Section 3 analyzes the use of IPv6 fragmentation in SEcure Neighbor Discovery (SEND). Section 4 provides the rationale for forbidding the use of IPv6 fragmentation with Neighbor Discovery. Section 5 formally updates RFC 4861 such that the use of the IPv6 Fragment Header with traditional Neighbor Discovery is forbidden, and also formally updates RFC 3971 by providing advice on the use of IPv6 fragmentation with SEND. Section 6 provides operational advice about interoperability problems arising from the use of IPv6 fragmentation with Neighbor Discovery.

セクション2では、従来の近隣探索におけるIPv6フラグメンテーションの使用を分析します。セクション3では、SEcureネイバー探索(SEND)でのIPv6フラグメンテーションの使用を分析します。セクション4は、近隣探索でのIPv6フラグメンテーションの使用を禁止する根拠を提供します。セクション5では、従来の近隣探索でのIPv6フラグメントヘッダーの使用が禁止されるようにRFC 4861を正式に更新し、SENDでのIPv6フラグメンテーションの使用に関するアドバイスを提供することにより、RFC 3971を正式に更新します。セクション6は、近隣探索でのIPv6フラグメンテーションの使用から生じる相互運用性の問題に関する運用上のアドバイスを提供します。

The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in RFC 2119 [RFC2119].

このドキュメントのキーワード「MUST」、「MUST NOT」、「REQUIRED」、「SHALL」、「SHALL NOT」、「SHOULD」、「SHOULD NOT」、「RECOMMENDED」、「MAY」、および「OPTIONAL」は、 RFC 2119 [RFC2119]で説明されているように解釈されます。

2. Traditional Neighbor Discovery and IPv6 Fragmentation
2. 従来のネイバー探索とIPv6フラグメンテーション

The only potential use case for IPv6 fragmentation with traditional (i.e., non-SEND) IPv6 Neighbor Discovery would be that in which a Router Advertisement must include a large number of options (Prefix Information Options, Route Information Options, etc.). However, this could still be achieved without employing fragmentation, by splitting the aforementioned information into multiple Router Advertisement messages.


Some Neighbor Discovery implementations are known to silently ignore Router Advertisement messages that employ fragmentation. Therefore, splitting the necessary information into multiple RA messages (rather than sending a large RA message that is fragmented into multiple IPv6 fragments) is probably desirable even from an interoperability point of view.


Thus, avoiding the use of IPv6 fragmentation in traditional Neighbor Discovery would greatly simplify and improve the effectiveness of monitoring and filtering Neighbor Discovery traffic and would also prevent interoperability problems with those implementations that do not support fragmentation in Neighbor Discovery messages.


3. SEcure Neighbor Discovery (SEND) and IPv6 Fragmentation
3. SEcureネイバー探索(SEND)とIPv6フラグメンテーション

SEND packets typically carry more information than traditional Neighbor Discovery packets: for example, they include additional options such as the Cryptographically Generated Address (CGA) option and the RSA signature option.


When SEND nodes employ any of the Neighbor Discovery messages specified in [RFC4861], the situation is roughly the same: if more information than would fit in a non-fragmented Neighbor Discovery packet needs to be sent, it should be split into multiple Neighbor Discovery messages (such that IPv6 fragmentation is avoided).


However, Certification Path Advertisement (CPA) messages (specified in [RFC3971]) pose a different situation, since the Certificate Option they include typically contains much more information than any other Neighbor Discovery option. For example, Appendix C of [RFC3971] reports Certification Path Advertisement messages from 1050 to 1066 bytes on an Ethernet link layer. Since the size of CPA messages could potentially exceed the MTU of the local link, Section 5 recommends that fragmented CPA messages be processed normally, but discourages the use of keys that would result in fragmented CPA messages.

ただし、証明書パスアドバタイズメント(CPA)メッセージ([RFC3971]で指定)は、通常、他の近隣探索オプションよりも多くの情報を含む証明書オプションが含まれているため、状況が異なります。たとえば、[RFC3971]の付録Cは、イーサネットリンクレイヤの1050〜1066バイトの証明書パスアドバタイズメントメッセージを報告します。 CPAメッセージのサイズはローカルリンクのMTUを超える可能性があるため、セクション5では、フラグメント化されたCPAメッセージを通常どおりに処理することをお勧めしますが、フラグメント化されたCPAメッセージをもたらすキーの使用は推奨しません。

It should be noted that relying on fragmentation opens the door to a variety of IPv6 fragmentation-based attacks against SEND. In particular, if an attacker is located on the same broadcast domain as the victim host and Certification Path Advertisement messages employ IPv6 fragmentation, it would be trivial for the attacker to forge IPv6 fragments such that they result in "Fragment ID collisions", causing both the attack fragments and the legitimate fragments to be discarded by the victim node. This would eventually cause Authorization Delegation Discovery (Section 6 of [RFC3971]) to fail, thus leading the host to (depending on local configuration) either fall back to unsecured mode or reject the corresponding Router Advertisement messages (possibly resulting in a denial of service).

断片化に依存すると、SENDに対するさまざまなIPv6断片化ベースの攻撃への扉が開かれることに注意してください。特に、攻撃者が被害ホストと同じブロードキャストドメインにあり、証明書パスアドバタイズメントメッセージがIPv6フラグメンテーションを使用している場合、攻撃者がIPv6フラグメントを偽造して「フラグメントIDの衝突」を引き起こし、両方を引き起こす可能性があります。攻撃フラグメントと正当なフラグメントは、犠牲ノードによって破棄されます。これにより、最終的に承認委任の発見([RFC3971]のセクション6)が失敗し、ホストが(ローカル構成に応じて)非セキュアモードにフォールバックするか、対応するルーターアドバタイズメッセージを拒否します(サービス拒否となる可能性があります) )。

4. Rationale for Forbidding IPv6 Fragmentation in Neighbor Discovery
4. 近隣探索でIPv6フラグメンテーションを禁止する根拠

A number of considerations should be made regarding the use of IPv6 fragmentation with Neighbor Discovery:

Neighbor DiscoveryでのIPv6フラグメンテーションの使用に関して、いくつかの考慮事項を行う必要があります。

o A significant number of existing implementations already silently drop fragmented ND messages, so the use of IPv6 fragmentation may hamper interoperability among IPv6 implementations.

o 既存の実装のかなりの数はすでに断片化されたNDメッセージを静かにドロップしているため、IPv6フラグメンテーションを使用すると、IPv6実装間の相互運用性が妨げられる可能性があります。

o Although it is possible to build an ND message that needs to be fragmented, such packets are unlikely to exist in the real world because of the large number of options that would be required for the resulting packet to exceed the minimum IPv6 MTU of 1280 octets.

o フラグメント化する必要のあるNDメッセージを作成することは可能ですが、結果のパケットが最小IPv6 MTUの1280オクテットを超えるために必要となるオプションの数が多いため、このようなパケットは実際には存在しません。

o If an ND message was so large as to need fragmentation, there is an option to distribute the same information amongst more than one message, each of which is small enough to not need fragmentation.

o NDメッセージが断片化を必要とするほど大きかった場合、同じ情報を複数のメッセージに分散するオプションがあります。各メッセージは断片化を必要としないほど小さいです。

Thus, forbidding the use of IPv6 fragmentation with Neighbor Discovery normalizes existing behavior and sets the expectations of all implementations to the existing lowest common denominator.


5. Specification
5. 仕様

Nodes MUST NOT employ IPv6 fragmentation for sending any of the following Neighbor Discovery and SEcure Neighbor Discovery messages:

ノードは、次の近隣探索メッセージおよびSEcure近隣探索メッセージのいずれかを送信するためにIPv6フラグメンテーションを使用してはなりません(MUST NOT)。

o Neighbor Solicitation

o 近隣要請

o Neighbor Advertisement

o ネイバーアドバタイズメント

o Router Solicitation

o ルーター要請

o Router Advertisement

o ルーター広告

o Redirect

o リダイレクト

o Certification Path Solicitation

o 認定パス要請

Nodes SHOULD NOT employ IPv6 fragmentation for sending the following messages (see Section 6.4.2 of [RFC3971]):


o Certification Path Advertisement Nodes MUST silently ignore the following Neighbor Discovery and SEcure Neighbor Discovery messages if the packets carrying them include an IPv6 Fragmentation Header:


o Neighbor Solicitation

o 近隣要請

o Neighbor Advertisement

o ネイバーアドバタイズメント

o Router Solicitation

o ルーター要請

o Router Advertisement

o ルーター広告

o Redirect

o リダイレクト

o Certification Path Solicitation

o 認定パス要請

Nodes SHOULD normally process the following messages when the packets carrying them include an IPv6 Fragmentation Header:


o Certification Path Advertisement

o 認定パスアドバタイズメント

SEND nodes SHOULD NOT employ keys that would result in fragmented CPA messages.

SENDノードは、断片化されたCPAメッセージをもたらすキーを使用してはなりません(SHOULD NOT)。

6. Operational Advice
6. 運用上のアドバイス

An operator detecting that Neighbor Discovery traffic is being silently dropped should find whether the corresponding Neighbor Discovery messages are employing IPv6 fragmentation. If they are, it is likely that the devices receiving such packets are silently dropping them merely because they employ IPv6 fragmentation. In such a case, an operator should check whether the sending device has an option to prevent fragmentation of ND messages, and/or see whether it is possible to reduce the options carried on such messages. We note that solving this (unlikely) problem might require a software upgrade to a version that does not employ IPv6 fragmentation with Neighbor Discovery.


7. Security Considerations
7. セキュリティに関する考慮事項

The IPv6 Fragmentation Header can be leveraged to circumvent network monitoring tools and current implementations of mechanisms such as RA-Guard [RA-GUARD]. By updating the relevant specifications such that the IPv6 Fragment Header is not allowed in any Neighbor Discovery messages except Certification Path Advertisement messages, protection of local nodes against Neighbor Discovery attacks, as well as the monitoring of Neighbor Discovery traffic, are greatly simplified.

IPv6フラグメンテーションヘッダーを活用して、ネットワーク監視ツールや、RA-Guard [RA-GUARD]などのメカニズムの現在の実装を回避できます。証明書パスアドバタイズメッセージ以外の近隣探索メッセージでIPv6フラグメントヘッダーが許可されないように関連仕様を更新することにより、近隣探索攻撃に対するローカルノードの保護、および近隣探索トラフィックの監視が大幅に簡素化されます。

As noted in Section 3, the use of SEND could potentially result in fragmented Certification Path Advertisement messages, thus allowing an attacker to employ IPv6 fragmentation-based attacks against such messages. Therefore, to the extent that is possible, such use of fragmentation should be avoided.


8. Acknowledgements
8. 謝辞

The author would like to thank (in alphabetical order) Mikael Abrahamsson, Ran Atkinson, Ron Bonica, Jean-Michel Combes, David Farmer, Adrian Farrel, Stephen Farrell, Roque Gagliano, Brian Haberman, Bob Hinden, Philip Homburg, Ray Hunter, Arturo Servin, Mark Smith, and Martin Stiemerling for providing valuable comments on earlier versions of this document.

著者は(アルファベット順で)ミカエルアブラハムソン、ランアトキンソン、ロンボニカ、ジャンミッシェルコムズ、デビッドファーマー、エイドリアンファレル、スティーブンファレル、ロケガリアーノ、ブライアンハーバーマン、ボブヒンデン、フィリップホンバーグ、レイハンター、アルトゥーロに感謝しますこのドキュメントの以前のバージョンに関する貴重なコメントを提供してくださったServin、Mark Smith、およびMartin Stiemerling。

The author would also like to thank Roque Gagliano for contributing the information regarding message sizes in Appendix A, and Arturo Servin for presenting this document at IETF 81.

著者はまた、付録Aでメッセージサイズに関する情報を提供してくれたRoque Gaglianoと、IETF 81でこのドキュメントを発表してくれたArturo Servinに感謝します。

Finally, the author would like to thank his brother, friend, and colleague, Guillermo Gont, for his love and support.


This document resulted from the project "Security Assessment of the Internet Protocol version 6 (IPv6)" [CPNI-IPv6], carried out by Fernando Gont on behalf of the UK Centre for the Protection of National Infrastructure (CPNI).


9. References
9. 参考文献
9.1. Normative References
9.1. 引用文献

[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.

[RFC2119] Bradner、S。、「要件レベルを示すためにRFCで使用するキーワード」、BCP 14、RFC 2119、1997年3月。

[RFC3971] Arkko, J., Kempf, J., Zill, B., and P. Nikander, "SEcure Neighbor Discovery (SEND)", RFC 3971, March 2005.

[RFC3971] Arkko、J.、Kempf、J.、Zill、B。、およびP. Nikander、「SEcure Neighbor Discovery(SEND)」、RFC 3971、2005年3月。

[RFC4861] Narten, T., Nordmark, E., Simpson, W., and H. Soliman, "Neighbor Discovery for IP version 6 (IPv6)", RFC 4861, September 2007.

[RFC4861] Narten、T.、Nordmark、E.、Simpson、W。、およびH. Soliman、「Neighbor Discovery for IP version 6(IPv6)」、RFC 4861、2007年9月。

[RFC6494] Gagliano, R., Krishnan, S., and A. Kukec, "Certificate Profile and Certificate Management for SEcure Neighbor Discovery (SEND)", RFC 6494, February 2012.

[RFC6494] Gagliano、R.、Krishnan、S。、およびA. Kukec、「証明書プロファイルとSEcureネイバー探索(SEND)の証明書管理」、RFC 6494、2012年2月。

9.2. Informative References
9.2. 参考引用

[CPNI-IPv6] Gont, F., "Security Assessment of the Internet Protocol version 6 (IPv6)", UK Centre for the Protection of National Infrastructure, (available on request).

[CPNI-IPv6] Gont、F。、「インターネットプロトコルバージョン6(IPv6)のセキュリティ評価」、英国国家インフラ保護センター(リクエストに応じて入手可能)。

[Gont-DPSC] Gont, F., "Results of a Security Assessment of the Internet Protocol version 6 (IPv6)", DEEPSEC 2011 Conference, Vienna, Austria, November 2011, < fgont-deepsec2011-ipv6-security.pdf>.

[Gont-DPSC] Gont、F。、「インターネットプロトコルバージョン6(IPv6)のセキュリティ評価の結果」、DEEPSEC 2011会議、ウィーン、オーストリア、2011年11月、< / deepsec2011 / fgont-deepsec2011-ipv6-security.pdf>。

[NDPMon] SourceForge, "NDPMon - IPv6 Neighbor Discovery Protocol Monitor", July 2012, <>.

[NDPMon] SourceForge、「NDPMon-IPv6 Neighbor Discovery Protocol Monitor」、2012年7月、<>。

[RA-GUARD] Gont, F., "Implementation Advice for IPv6 Router Advertisement Guard (RA-Guard)", Work in Progress, November 2012.

[RA-GUARD] Gont、F。、「IPv6ルーターアドバタイズメントガード(RA-Guard)の実装に関するアドバイス」、作業中、2012年11月。

[ramond] SourceForge, "ramond", January 2009, <>.

[ramond] SourceForge、「ramond」、2009年1月、<>。

[RFC3756] Nikander, P., Kempf, J., and E. Nordmark, "IPv6 Neighbor Discovery (ND) Trust Models and Threats", RFC 3756, May 2004.

[RFC3756] Nikander、P.、Kempf、J。、およびE. Nordmark、「IPv6 Neighbor Discovery(ND)Trust Models and Threats」、RFC 3756、2004年5月。

[RFC6104] Chown, T. and S. Venaas, "Rogue IPv6 Router Advertisement Problem Statement", RFC 6104, February 2011.

[RFC6104] Chown、T。およびS. Venaas、「Rogue IPv6 Router Advertisement Problem Statement」、RFC 6104、2011年2月。

[RFC6105] Levy-Abegnoli, E., Van de Velde, G., Popoviciu, C., and J. Mohacsi, "IPv6 Router Advertisement Guard", RFC 6105, February 2011.

[RFC6105] Levy-Abegnoli、E.、Van de Velde、G.、Popoviciu、C.、J。Mohacsi、「IPv6 Router Advertisement Guard」、RFC 6105、2011年2月。

Appendix A. Message Size When Carrying Certificates

This section aims at estimating the size of normal Certification Path Advertisement messages.


Considering a Certification Path Advertisement (CPA) such as that of Appendix C of [RFC3971] (certification path length of 4, between 1 and 4 address prefix extensions, and a key length of 1024 bits), the certificate lengths range between 864 and 888 bytes (and the corresponding Ethernet packets from 1050 to 1066 bytes) [RFC3971].


Updating the aforementioned packet size to account for the larger (2048 bits) keys required by [RFC6494] results in packet sizes ranging from 1127 to 1238 bytes, which are smaller than the minimum IPv6 MTU (1280 bytes) and much smaller than the ubiquitous Ethernet MTU (1500 bytes).

[RFC6494]で必要とされるより大きな(2048ビット)キーを考慮して前述のパケットサイズを更新すると、パケットサイズは1127〜1238バイトになり、最小IPv6 MTU(1280バイト)より小さく、ユビキタスイーサネットよりはるかに小さくなります。 MTU(1500バイト)。

However, we note that packet sizes may vary depending on a number of factors, including:


o the number of prefixes included in the certificate

o 証明書に含まれるプレフィックスの数

o the length of Fully Qualified Domain Names (FQDNs) in Trust Anchor (TA) options [RFC3971] (if present)

o Trust Anchor(TA)オプションの完全修飾ドメイン名(FQDN)の長さ[RFC3971](存在する場合)

If larger key sizes (e.g., 4096 bits) are required in the future, a larger MTU size might be required to convey such information in Neighbor Discovery packets without the need to employ fragmentation.


Author's Address


Fernando Gont SI6 Networks / UTN-FRH Evaristo Carriego 2644 Haedo, Provincia de Buenos Aires 1706 Argentina

フェルナンドゴンSI6ネットワーク/ UTN-FRHエヴァリストキャリーゴ2644ブエノスアイレス州ハエド1706アルゼンチン

   Phone: +54 11 4650 8472